You are currently viewing מה זה GDPR? הכללים ליישום רגולציית ה-GDPR בעסקים בישראל

מה זה GDPR? הכללים ליישום רגולציית ה-GDPR בעסקים בישראל

בעולם של היום אנחנו חושפים יותר מידע על עצמנו ברשת מאי פעם, והחיים שלנו מתועדים בכל רגע נתון. כל פיסת מידע שאנחנו משתפים במרחב הוירטואלי (למשל כאשר אנחנו מעלים תמונה לרשת חברתית או מחפשים/רוכשים מוצר באינטרנט) נשמרת, מעובדת ויש להניח כי מבוצע בה שימוש על ידי גורמים שונים.

אותו מידע שנשמר לגבינו משפיע על החיים שלנו – על החדשות שנקבל, המוצרים שיוצעו לנו ברשת האינטרנט והמחיר שנקבל, סיכויי הקבלה לעבודה, חיפוש זוגיות, ועוד. המידע האישי שלנו הוא יותר מסתם אוסף נתונים.

כפי שתפקידן של ממשלות לקבוע חוקים להתנהגות במרחב הפיזי, כך תפקידן גם להגדיר חוקים לשמירה על פרטיותם של תושביהן במרחב הוירטואלי. חוקים אלו נועדו להבטיח שמידע אודותינו יאסף, יוחזק ויטופל באופן ראוי ומוסדר. כך למשל, בישראל אמונה "הרשות להגנת הפרטיות" במשרד המשפטים על הסדרת ואכיפת כללי הגנת הפרטיות הקבועים בחוק ובתקנות.

אם כן, מה זה GDPR? האם וכיצד חברות בישראל מושפעות ממנה? וכיצד עליהן ליישם אותה?

תוכן העניינים:

  1. מה זה GDPR?
  2. מונחים בסיסיים?
  3. האם חברה ישראלית כפופה ל-GDPR?
  4. סוגי הגופים המחזיקים במידע
  5. מה זה DPA?
  6. זכויות נושאי המידע על פי ה-GDPR
  7. מינוי נציג ו/או קצין אבטחת מידע בארגון?
  8. כללי אבטחת המידע
  9. מהם הקנסות והחשיפה בגין אי קיום הוראות ה-GDPR?
  10. סיכום: כיצד מיישמים בארגון את כללי ה-GDPR ואילו מסמכים נדרשים לכך?

1. מה זה GDPR?

ה-GDPR (ראשי תיבות של General Data Protection Regulation) הינה רגולציה שנקבעה על ידי האיחוד האירופי, במטרה להסדיר את כללי האיסוף וההגנה על המידע האישי של בני אדם הנמצאים באיחוד. היא מגדירה כיצד על גופים אשר מבקשים לאסוף מידע אישי ליידע או לקבל את הסכמת האנשים עליהם נאסף המידע, את זכויותיהם של אותם אנשים בקשר למידע שנאסף לגביהם, את אמצעי האבטחה שעל הגוף לנקוט בהם לשם שמירה על המידע, כיצד עליו לפעול במקרה של פריצה בלתי מורשית למידע, ועוד.

2. מונחים בסיסיים

  • האדם עליו נאסף המידע נקרא "נושא מידע" או "Data Subject".

  • "מידע אישי" מוגדר כמידע הנוגע לאדם אשר באמצעותו ניתן לזהות את אותו אדם. לדוגמא: שם, מספר טלפון, תאריך לידה, מספר תעודת זהות, גזע, מין, דעות דתיות או פוליטיות וכדומה. מידע אישי מוגדר גם כמידע אשר מאפשר זיהוי של אדם באמצעות הצלבתו עם מידע אחר. לדוגמא: כתובת בניין אינה מידע אישי, כשלעצמה, שכן היא לא מצביעה על אדם ספציפי. אך באמצעות שילוב כתובת זו ורשימת אנשים המתגוררים בו וביצעו רכישה למשל בחנות מסוימת, תהפוך הכתובת ל"מידע אישי" הנוגע לקונים.

  • "עיבוד" מוגדר, באופן רחב, ככל פעולה המתבצעת בקשר למידע אישי כגון: איסוף, הקלטה, ארגון מחדש, מבנה, אחסון, התאמה או שינוי, שליפה, שימוש, גילוי, הפצה, שילוב או מחיקה.

3. האם חברה ישראלית כפופה ל-GDPR?

ל-GDPR תחולה טריטוריאלית וחוץ-טריטוריאלית, כלומר החקיקה חלה על גופים הנמצאים בתחומי האיחוד האירופי ולעיתים גם על גופים הנמצאים מחוץ לאיחוד.

  • תחולה טריטוריאלית: החקיקה חלה על גופים הממוקמים בתוך האיחוד האירופי ומעבדים מידע אישי. כלומר, כל חברה או מוסד קבע הממוקמים בתחומי האיחוד, כפופים ל-GDPR מעצם היותם בתחומי האיחוד.

לדוגמה

חברת פרסום הממוקמת בצרפת כפופה ל- GDPR בקשר לכל המידע האישי אשר היא מעבדת בנוגע ללקוחותיה, ספקיה, עובדיה וכדומה;
חברה אמריקאית לייצור חלקי חילוף לרכבים בעלת סניף בבלגיה אשר אחראי לפעילות החברה באיחוד האירופי - תהיה כפופה ל-GDPR בכל הנוגע לפעילותה באירופה ולמידע הנאסף במסגרתה;
אתר מסחר אלקטרוני אשר מופעל על ידי חברה שבסיסה בסין. פעילויות עיבוד המידע האישי של החברה מתבצעות באופן מוחלט בסין (כלומר, המידע נשלח ישירות לסין). אותה חברה סינית מפעילה משרד בברלין במטרה להוביל מבצעי שיווק מסחריים המכוונים לשוק האיחוד האירופי. פעילות המשרד בברלין וכל המידע האישי הנאסף במסגרתה יהיו כפופים ל- GDPR.

  • תחולה חוץ-טריטוריאלית: החקיקה חלה על גופים אשר נמצאים מחוץ לטריטוריה של האיחוד האירופי, אם: גופים אלו מציעים, באופן ייעודי, מוצרים ו/או שירותים לנושאי מידע באיחוד האירופי (אף אם השירותים מוצעים ללא עלות). אינדיקציות להצעת מוצרים "באופן ייעודי" יכולות להיות מינוי מפיץ באירופה, תרגום אתר לשפה המדוברת באיחוד או שימוש במטבע הנפוץ באיחוד; החקיקה תחול גם במקרה בו גוף אוסף מידע אישי המעיד על התנהגות נושאי המידע באיחוד האירופי ("Monitoring").
  • "Monitoring" מוגדר כמעקב אחר אנשים בטכניקות עיבוד מידע אישי הכוללות יצירת פרופיל, על מנת לקבל החלטות הנוגעות אליו או לניתוח או חיזוי של העדפותיו, התנהגויותיו ועמדותיו האישיות. במקרה שנאסף מידע מעין זה, אין צורך באינדיקציות נוספות לשיווק ספציפי באיחוד – עצם התחקות אחר נושא המידע באיחוד האירופי מחילה על החברה את כללי ה-GDPR. למשל: קידום פרסומת המבוססת על נתוני מיקום, מעקב מקוון באמצעות עוגיות, שירותי דיאטה בהתאמה אישית, CCTV, סקרי שוק ומחקרי התנהגות אחרים המבוססים על פרופילים אישיים ועוד.

דוגמה 1

רשת מלונות ואתרי נופש בדרום אפריקה מציעה באתר האינטרנט שלה מבצעי חבילות נופש, בשפות - אנגלית, גרמנית, צרפתית וספרדית. לחברה אין שום משרד או ייצוג באיחוד האירופי, אך עצם מאמצי המכירות והשיווק הייעודי לאירופה מחילים עליה את ה-GDPR בקשר לפעילותה זו.

דוגמה 2

סטארט-אפ בארה"ב, ללא כל נוכחות עסקית או מוסד קבע באיחוד האירופי, מספק אפליקציה למיפוי ערים לתיירים הזמינה בניו יורק, סן פרנסיסקו, טורונטו, פריז ורומא. האפליקציה מעבדת מידע אישי הנוגע למיקום הלקוחות המשתמשים באפליקציה והתנהגותם (נושאי המידע), במטרה להציע פרסומות ממוקדות לאטרקציות, מסעדות, ברים ובתי מלון. פעילות האפליקציה, המעבדת נתונים המגיעים מלקוחות הנמצאים באיחוד האירופי, כפופה ל-GDPR.

דוגמה 3

אזרח ארה"ב נוסע לאירופה לחופשה. בהיותו באירופה, הוא מוריד ומשתמש באפליקציית חדשות המוצעת על ידי חברה אמריקאית. האפליקציה מופנית באופן בלעדי לשוק בארה"ב (על פי תנאי השימוש באפליקציה והציון של דולר ארה"ב כמטבע היחיד הזמין לתשלום). איסוף המידע האישי של התייר האמריקני באמצעות האפליקציה על ידי החברה האמריקאית אינו כפוף ל-GDPR, כיוון שאין מאמצי שיווק באירופה ואין התחקות אחר התנהגות האזרח האמריקני כאשר הוא בתחומי האיחוד האירופי.

דוגמה 4

לבנק בטייוואן יש לקוחות המתגוררים בטייוואן אך מחזיקים באזרחות גרמנית. הבנק פעיל רק בטייוואן ופעילותו אינה מכוונת לשוק האיחוד האירופי. עיבוד המידע האישי של לקוחותיו הגרמניים אינו כפוף ל-GDPR מכיוון שאין מאמצי שיווק באירופה ואין התחקות אחר התנהגות הלקוחות בעלי האזרחות הגרמנית אשר נמצאים ממילא מחוץ לתחומי האיחוד.

דוגמה 5

רשות ההגירה הקנדית מעבדת מידע אישי של אזרחי האיחוד האירופי בעת כניסה לשטח קנדה לצורך בחינת בקשת הויזה שלהם. עיבוד זה אינו כפוף ל-GDPR.

כפועל יוצא מכללים אלו, ייתכן בהחלט כי ה-GDPR יחול על חברה ישראלית.

בדקו

האם חברתכם פועלת באיחוד האירופי או מחזיקה סניף באיחוד? האם אתם מעסיקים עובד הממוקם באיחוד האירופי? האם יש לכם לקוחות המצויים באיחוד או שמידע אישי נאסף מנושאי מידע באיחוד?

שימו לב: אף אם החקיקה לא חלה עליכם באופן ישיר, עמידה בכלליה עשויה לסייע בקידום עסקים עם חברות ולקוחות פוטנציאליים, אשר יעדיפו לרכוש מוצרים או לנהל עסקים עם חברה המיישמת את כללי ה-GDPR.

4. סוגי הגופים המחזיקים במידע

ה-GDPR מחלקת את הגופים הכפופים להוראותיה לשני סוגים:

"שולט במידע": הגוף אשר קובע את המטרות לשמן נאסף המידע האישי והאמצעים לעיבודו (Controller).

"מעבד המידע": הגוף אשר מעבד את המידע האישי (Processor).

לדוגמה

בנק אוסף את נתוני לקוחותיו כאשר הם פותחים חשבון באמצעות אתר הבנק. הוא מחליט איזה מידע ייאסף ומה יהיה השימוש בו - לכן הוא "השולט במידע". איסוף הפרטים, סיווגם ואיכסונם מתבצע באמצעות שרתי אכסון של חברה נפרדת - לכן היא "מעבד המידע".

מירב האחריות הינה על השולט במידע, כיוון והוא הגוף אשר מחליט על אופן איסוף המידע והשימוש בו. על השולט במידע לוודא כי איסוף ועיבוד המידע נעשה בהתאם לחקיקה ולוודא כי ביכולתו להוכיח את עמידתו בכללי ה-GDPR. כמו כן, על השולט במידע לוודא כי זכויות נושאי המידע מקוימות (כפי שנפרט מיד), וכי מידע אישי שנאסף, נשמר באופן מאובטח.

5. מה זה DPA?

כיצד "שולט במידע" מבטיח כי מטרות האיסוף ואבטחת המידע יישמרו? ובכן, אחד מהאמצעים הינו חתימה עם "מעבד המידע" על הסכם המכונה DPA (ראשי תיבות של Data Processing Agreement). מטרת ההסכם הנה הגדרת הזכויות והחובות של כל אחד מהצדדים בנוגע לעיבוד ואבטחת המידע האישי.

לדוגמה

בנק ספרדי אשר כפוף ל-GDPR, מתקשר עם חברת חשבות שכר ועם חברת שיווק, האוספת מידע אישי לצורך פעילויות השיווק של הבנק. מאחר וחברת חשבות השכר מעבדת מידע אישי של עובדי הבנק ומפיקה תלושי שכר עבור הבנק - היא "מעבדת מידע" עבור הבנק ("השולט במידע"). בהתאם, היות וחברת השיווק אוספת ומעבדת מידע על לקוחות פוטנציאליים של הבנק, היא "מעבדת מידע" נוספת עבור הבנק. על הבנק מוטלת החובה לחתום על DPA עם כל אחת מהחברות הנ"ל על מנת שיעמוד בתנאי ה-GDPR.

האם פעילותכם הופכת אתכם לשולט במידע או מעבד המידע וודאו שהינכם עומדים בדרישות החקיקה. במקרה שהנכם "שולט במידע", וודאו כי כל מעבדי המידע איתם אתם מתקשרים, עומדים בדרישות ה-GDPR וחתמו עמם על DPA. מומלץ לשכור את שירותיו של עורך דין המתמחה ב-GDPR לצורך גיבוש הסכם DPA.

6. זכויות נושאי המידע על פי ה-GDPR

ה-GDPR מעניק זכויות רבות לנושאי המידע, אשר נאסף לגביהם מידע אישי. מילת המפתח הינה "שקיפות".

שקיפות: לצורך אפשרות איסוף מידע, חלה חובה למסור לנושא המידע פרטים כגון: מהו המידע הנאסף, לאילו מטרות הוא נאסף ותחת איזה בסיס חוקי, לאילו צדדים שלישיים יועבר ולאילו מטרות. לרוב, מידע זה יסופק במסגרת מדיניות פרטיות ותנאי השימוש או באמצעות חוזה התקשרות עם נושא המידע.

שימו לב

על פי ה-GDPR אין חובה לקבל הסכמה מפורשת של נושא המידע לאיסוף המידע. איסוף המידע יכול להיעשות גם בכפוף לתנאים אחרים: מכוח חוזה בין הצדדים או צעדים לקראת חוזה בין הצדדים, אינטרס לגיטימי, חובה חוקית, אינטרס חיוני להגנה על חיי אדם, קיום חובה לצורך ציבורי.

בדקו

האם הנכם מציגים לנושאי המידע מדיניות פרטיות מתאימה, והאם איסוף המידע נעשה על בסיס אחד מתנאי האיסוף המצוינים ב-GDPR. וודאו גם כי עובדיכם מבינים את העקרונות הבסיסיים של ה-GDPR מנקודת מבט עיבוד המידע ונושאי המידע.

זכויות נושאי המידע בנוגע למידע שנאסף עליהם, לאחר שנאסף:

  • הזכות לעיון במידע האישי השמור אודותיהם,
  • הזכות לניוד המידע האישי שלהם לגורם אחר.
  • הזכות לשינוי או מחיקת המידע האישי.
  • הזכות להגבלת השימוש במידע האישי – הזכות להתנגד לאפיון ויצירת פרופיל (Profiling) באמצעות המידע האישי.

בדקו

האם ברשותכם נוהל טיפול בפניות מצד נושאי מידע בקשר למידע שלהם והאם מערכותיכם בנויות בצורה נאותה למענה על פניות אלו במסגרת הזמנים תחת ה GDPR.

לדוגמה

משה, גולש באתר אינטרנט של חברה הכפופה ל-GDPR. בעת כניסתו לאתר יש להציג בפני משה מדיניות פרטיות הכוללת פירוט אודות סוג המידע שיאסף ומטרותיו (כפי שפרטנו לעיל), ולכלול בה כתובת ליצירת קשר עם החברה לצורך מימוש זכויותיו כנושא המידע. בכל עת, רשאי משה לפנות לחברה באמצעות כתובת זו לצורך עיון במידע שנאסף לגביו, תיקונו, מחיקתו וכדומה.

7. מינוי נציג ו/או קצין אבטחת מידע בארגון

כאשר מדובר בגוף אשר אינו מצוי בתחומי האיחוד האירופי (ראו: "תחולה חוץ-טריטוריאלית"), חלה עליו חובה למנות נציג באחת ממדינות האיחוד בה מעובד המידע האישי, אשר יהיה זמין לפניות מנושאי מידע באיחוד ו/או פניות מגופים שלטוניים אחרים.

לדוגמה

חברה ישראלית המציעה את מוצריה לתושבי האיחוד באמצעות מאמצי שיווק ממוקדים באיחוד, נדרשת למנות נציג מטעמה (שיכול להיות עובד של החברה או נותן שירותים חיצוני) שיהיה זמין לפניות מרשויות ונושאי מידע.

בנוסף קובע ה-GDPR, כי בעת עיבוד "רחב היקף", "עיבוד מידע רגיש", או במקרה בו מדובר על גוף ציבורי, יש למנות קצין אבטחת מידע (DPO – Data Protection Officer). קצין אבטחת המידע יכול להיות גורם פנימי בארגון או נותן שירותים חיצוני.

"מידע רגיש" הוא מידע אישי הכולל: גזע; מוצא אתני; דעות פוליטיות; אמונות דתיות או פילוסופיות; חברות באיגוד מקצועי; נתונים גנטיים; נתונים ביומטריים המעובדים אך ורק לזיהוי בן אנוש; נתונים הקשורים לבריאות; ונתונים הנוגעים לחיי המין של אדם או לנטייתו המינית.

ה-GDPR לא מגדיר מהו "עיבוד רחב היקף". יש לקחת את הגורמים הבאים בחשבון לצורך הקביעה אם העיבוד הוא "רחב היקף": מספר נושאי המידע, כמות הנתונים הנאספת, משך האיסוף וההיקף הגיאוגרפי של פעילות העיבוד (למשל מידע הנאסף בפעילות בית חולים, עיבוד נתוני נסיעות של אנשים המשתמשים במערכת תחבורה ציבורית בעיר, עיבוד נתוני מיקום גיאוגרפי בזמן אמת של לקוחות רשת מזון מהיר בינלאומית למטרות סטטיסטיות, עיבוד מידע אישי הנוגע לדפוס התנהגותי על ידי מנוע חיפוש, עיבוד נתונים (תוכן, תנועה, מיקום) באמצעות ספקי טלפון או שירותי אינטרנט, וכן הלאה).

שימו לב כי נציג אינו קצין אבטחת מידע (DPO). אלו שני תפקידים שונים בעלי אחריות שונה. לכן, מינוי נציג אינו פוטר ממינוי קצין אבטחת מידע, ולהפך.

בדקו

האם ישנו צורך במינו נציג ו/או קצין אבטחת מידע בארגון שלכם, ועדכנו את נשואי המידע בנוגע לזהות הנציג הרלוונטי.

8. כללי אבטחת המידע

ה-GDPR לא מציין מפורשות מהם אמצעי האבטחה אותם נדרש כל גוף להפעיל, אלא מציינת כי כל גוף נדרש לבחון ולהטמיע אמצעי אבטחה, בקרה וארגון נאותים בשים לב לאופי המידע, היקפו, מטרות העיבוד, והסיכונים לזכויות הפרט הטמונים במידע האישי וחשיפתו.

כיצד עליכם לפעול?

(א) העריכו את מנגנוני אבטחת המידע בארגון וודאו כי המידע מאוחסן ומוגן על ידי הרשאות גישה ובקרות נאותות, וכי לא ניתן להשתמש במידע למטרה שונה מהמטרה שהוצגה לנושא המידע בעת איסוף המידע;
(ב) בעת בניית מערכות לאכסון מידע יש לעצב אותן באופן המגן על המידע (Privacy by Design);
(ג) שוחחו עם הצוותים הטכניים על נהלי אחסון במידע בארגון ובדקו האם מנוהלים רישומים של המטרות והשימושים במידע והאם המידע מאוחסן בצורה מאובטחת.

9. מהם הקנסות והחשיפה בגין אי קיום הוראות ה-GDPR?

במסגרת ה- GDPR, הוקנתה סמכות לרשויות האכיפה באיחוד האירופאי להטיל קנסות כבדים על עיבוד מידע אישי באופן לא תקין והפרת הוראות ה-GDPR. מפרים אשר כושלים באבטחת מידע ובקיום זכויות נושאי המידע, עשויים לעמוד בפני קנס של 20 מיליון אירו או עד 4% מהמחזור השנתי העולמי משנת הכספים הקודמת לשנת ההפרה, הגבוה מבניהם.

10. לסיכום: כיצד מיישמים בארגון את כללי ה-GDPR ואילו מסמכים נדרשים לכך?

  1. פרסמו מדיניות פרטיות והציגו אותה בפני נושאי המידע – מסמך זה (שניתן לפרסם גם באתר האינטרנט) מסביר במילים פשוטות כיצד יעובד מידע אישי של לקוחותיכם, מבקרי האתר ואחרים.
  2. הכינו הודעת פרטיות עובדים – מסמך זה מסביר כיצד הארגון מעבד מידע אישי של עובדיו (שעשוי לכלול מידע כגון רשומות בריאות, רישומים פליליים וכו').
  3. קבעו מדיניות לשמירת מידע – גבשו ​​נהלים שיגדירו לאיזו תקופה יישמר כל סוג של מידע אישי, וכיצד הוא יושמד באופן מאובטח.
  4. מנו נציג ו/או קצין אבטחת מידע, בהתאם לדרישה המוטלת עליכם.
  5. החתימו את נושאי הנתונים על טופס הסכמה לאיסוף ועיבוד מידע – זו הדרך הנפוצה והמקובלת ביותר לקבל הסכמה מנושאי המידע לעיבוד המידע האישי שלהם.
  6. החתימו את מעבדי המידע על הסכם לעיבוד מידע (DPA) – הסדירו באמצעות הסכם זה את נהלי עיבוד ואבטחת המידע על ידי מעבד המידע.
  7. גבשו נהלים למקרה בו תצטרכו לדווח, לטפל ולתחקר פרצות אבטחה שיזוהו – הכינו מסמך המתאר את סדר הפעולות הנדרש בארגון במקרה של פרצת אבטחה, לרבות תיחקורה ודיווח לרשויות אודותיה.
  8. גבשו טופס הודעה לנושאי המידע על גישה בלתי מורשית לנתונים – במקרה של הפרת נתונים, תהיה לך החובה הלא נעימה להודיע ​​על כך לנושאי המידע.
  9. ודאו כי החברה מאפשרת לנושאי מידע לעיין, לתקן, למחוק ולנייד מידע אישי שנשמר עליהם.

לנוסח חקיקת ה-GDPR לחצו כאן

האמור במסמך זה אינו מהווה ייעוץ משפטי. זקוקים לעו"ד ליישום הוראות ה-GDPR בארגונכם, לגיבוש מדיניות פרטיות, ולהכנת המסמכים המשפטיים הנדרשים? הנכם מוזמנים ליצור קשר עם משרדנו.

 

כתיבת תגובה